乐鱼（Leyu）体育官网

La cybers茅curit茅 est un processus, et pas seulement un projet, et les comit茅s d鈥檃udit ont un r么le 脿 jouer dans l鈥檈nsemble du processus鈥�: s鈥檃ssurer que la direction rep猫re continuellement les donn茅es critiques et les menaces qui p猫sent sur ces donn茅es, qu鈥檈lle les prot猫ge et qu鈥檈lle dispose d鈥檜ne planification en cas de violations.

Une cybers茅curit茅 efficace commence par la compr茅hension du flux des donn茅es de l鈥檕rganisation et l鈥檌dentification claire de ses donn茅es et syst猫mes essentiels. La direction doit d茅terminer les donn茅es, les droits de propri茅t茅 intellectuelle et les renseignements personnels que les clients et les fournisseurs 茅changent avec l鈥檕rganisation, ainsi que les obligations relatives 脿 la protection de ces donn茅es. Les comit茅s d鈥檃udit doivent s鈥檃ssurer que la direction dispose d鈥檜n processus d鈥檌dentification des donn茅es essentielles en interne et dans l鈥檈nsemble de la cha卯ne d鈥檃pprovisionnement num茅rique de l鈥檕rganisation.

La direction doit 茅galement identifier les vuln茅rabilit茅s de la cha卯ne d鈥檃pprovisionnement num茅rique et comprendre toute incidence potentielle sur l鈥檕rganisation. Il s鈥檃git de rep茅rer les personnes qui ont acc猫s aux donn茅es les plus sensibles de l鈥檕rganisation et les contr么les qui ont 茅t茅 mis en place par les tiers pour les prot茅ger. Le comit茅 d鈥檃udit devrait interroger la direction sur la certification par un tiers de la protection des donn茅es et des syst猫mes tant en interne qu鈥櫭� l鈥櫭ヽhelle de la cha卯ne d鈥檃pprovisionnement.

Id茅alement, la certification viendra d鈥檜ne validation officielle par un tiers, comme la certification ISO鈥�27001 ou un rapport SOC鈥�2. Les petites entreprises qui ne sont pas en mesure de fournir cette certification ou ce rapport pourraient devoir faire l鈥檕bjet d鈥檜ne 茅valuation par les auditeurs internes de l鈥檕rganisation. De plus en plus, les entreprises adoptent une approche de certification continue en mati猫re de surveillance de tiers et utilisent des outils pour rep茅rer les atteintes 脿 la s茅curit茅 par les fournisseurs.

Le comit茅 d鈥檃udit devrait 锚tre inform茅 du contexte des menaces et interroger la direction sur ses processus de surveillance et d鈥檌dentification des vuln茅rabilit茅s. Les auteurs de menaces qui ciblent des organisations sont principalement des cybercriminels qui se servent de ran莽ongiciels pour extorquer de l鈥檃rgent ou des 脡tats-nations ciblant des secteurs d鈥檃ctivit茅 pour effectuer des missions de reconnaissance ou mettre hors service des infrastructures essentielles. Les organisations doivent surveiller les menaces qui p猫sent 脿 la fois sur la technologie op茅rationnelle et sur les TI, puisque cette technologie peut permettre d鈥檃cc茅der aux TI et qu鈥檈lle a 茅t茅 efficacement utilis茅e par les 脡tats-nations pour attaquer les infrastructures.

Les cybercriminels innovent continuellement. Par exemple, ils ont mis au point des techniques d鈥檕btention des codes d鈥檃cc猫s 脿 usage unique pour l鈥檃uthentification multifactorielle, et ils utilisent l鈥橧A g茅n茅rative pour am茅liorer leurs attaques. Ils pers茅cutent 茅galement leurs cibles. Par cons茅quent, les organisations doivent garder une longueur d鈥檃vance sur les cybercriminels potentiels.

Le comit茅 d鈥檃udit devrait s鈥檃ssurer que la direction peut clairement expliquer son plan en cas de cyberincident. En plus des risques op茅rationnels, le cabinet pourrait faire face 脿 d鈥檌mportants risques li茅s 脿 la r茅putation et 脿 la r茅glementation. Pour att茅nuer ces risques, un cadre sup茅rieur clairement d茅sign茅 devrait 锚tre responsable de la communication avec les organismes de r茅glementation de la protection des renseignements personnels et des finances, les organismes d鈥檃pplication de la loi, les personnes touch茅es et, dans la plupart des cas, les m茅dias avec des communications pr茅par茅es.

Les organisations mettent en pratique leurs processus d鈥檌ntervention en mati猫re de cybers茅curit茅 en recourant 脿 des exercices de simulation de cyberattaque pour am茅liorer leur capacit茅 脿 r茅agir aux cyberincidents. Il s鈥檃git essentiellement de cyberexercices o霉 les participants appliquent les r茅ponses prescrites 脿 une menace, puis en font le point. Les entreprises utilisent aussi l鈥橧A et l鈥檃pprentissage machine pour surveiller les attaques ou les activit茅s inhabituelles et pour r茅agir plus rapidement. Par exemple, si un ordinateur portable est compromis, il peut 锚tre automatiquement mis en quarantaine et l鈥檜tilisateur peut 锚tre avis茅.

Se remettre d鈥檜ne attaque peut s鈥檃v茅rer plus difficile pour les entreprises que pour les TI. Il y a souvent des redondances et des sauvegardes dans le service informatique. Mais, pour assurer la reprise du secteur des affaires, il faut valider les donn茅es touch茅es et s鈥檃ssurer qu鈥檈lles sont toujours exactes, int茅gr茅es et rapproch茅es. Il s鈥檃gira peut-锚tre de s鈥檃ssurer que les prix, les comptes fournisseurs et les registres de paiement sont 脿 jour, et de d茅terminer le moment o霉 la derni猫re transaction a 茅t茅 valid茅e et l鈥檈ndroit o霉 r茅cup茅rer les donn茅es n茅cessaires pour ex茅cuter de nouveau les op茅rations manquantes. Puisque les TI n鈥檡 peuvent rien pour ces activit茅s commerciales, le comit茅 d鈥檃udit devra donc s鈥檃ssurer que des processus op茅rationnels sont en place pour r茅tablir l鈥檌nt茅grit茅 des donn茅es 脿 la suite d鈥檜n cyberincident.

Habituellement, les cyberincidents sont signal茅s au comit茅 d鈥檃udit en priorit茅. Par exemple, une attaque par ran莽ongiciel contre le syst猫me d鈥檌nformation financi猫re serait signal茅e imm茅diatement, tandis qu鈥檜ne infection dans l鈥檕rdinateur portable d鈥檜n employ茅 pourrait 锚tre signal茅e trimestriellement. Certains incidents devront 锚tre signal茅s aux gouvernements et aux organismes de r茅glementation, et le comit茅 d鈥檃udit voudra examiner la d茅claration avant de l鈥檈nvoyer.

Les comit茅s d鈥檃udit devraient interroger la direction sur les exigences de d茅claration concernant ses activit茅s et ses bureaux, et sur le processus mis en place pour les g茅rer de fa莽on structur茅e et consolid茅e. L脿 encore, il faut dresser un inventaire des donn茅es de l鈥檕rganisation pour savoir quels sont les r猫glements applicables 脿 l鈥檕rganisation.

Le comit茅 d鈥檃udit doit veiller 脿 ce que la direction surveille 茅galement les nouveaux r猫glements et s鈥檡 pr茅pare. Par exemple, 脿 partir de d茅cembre 2023, la Securities and Exchange Commission (SEC) des 脡tats-Unis exigera que les 茅metteurs inscrits et les 茅metteurs priv茅s 茅trangers signalent les incidents de cybers茅curit茅 importants et rendent compte annuellement de leur gestion des risques de cybers茅curit茅, de leur strat茅gie et de leur gouvernance^[1].

Au Canada, le projet de loi鈥疌-26, Loi sur la protection des cybersyst猫mes essentiels, a 茅t茅 d茅pos茅 le 14鈥痡uin 2022^[2]. Bien que cette loi ne soit pas encore en vigueur, elle est con莽ue pour s鈥檃ppliquer aux secteurs 芦鈥痚ssentiels 脿 la s茅curit茅 nationale ou 脿 la s茅curit茅 publique鈥�, et elle imposera des exigences en mati猫re de rapport 脿 ces organisations^[3].

La cyberstrat茅gie doit 锚tre align茅e sur l鈥檈ntreprise et ne pas fonctionner isol茅ment. L鈥櫭﹒uipe de cybers茅curit茅 doit participer au processus de planification des activit茅s. Il est imp茅ratif que les clients et les autres parties prenantes aient confiance dans les nouvelles solutions et les nouveaux processus, et l鈥櫭﹒uipe de cybers茅curit茅 peut contribuer 脿 assurer leur s茅curit茅 si elle participe au processus de conception et de mise en 艙uvre d猫s le d茅but. Le comit茅 d鈥檃udit doit interroger la direction sur la fa莽on dont elle pr茅voit de s鈥檃ssurer que la confiance est int茅gr茅e dans les nouvelles solutions et les nouveaux processus.

La cybers茅curit茅 est un risque majeur pour les organisations, qui fait partie de nombreux aspects 脿 surveiller par les comit茅s d鈥檃udit. C鈥檈st pourquoi l鈥櫭﹒uipe de cybers茅curit茅 et le comit茅 d鈥檃udit doivent se concentrer sur les 芦鈥痑ctifs num茅riques n茅vralgiques鈥�. Tout comme l鈥檃pproche du contr么le interne 脿 l鈥櫭ゞard de l鈥檌nformation financi猫re (芦鈥疌IIF鈥�), il est important de se concentrer sur les syst猫mes et donn茅es les plus critiques, et non sur toutes les applications. Pour plus d鈥檈fficacit茅, les discussions avec la direction doivent porter sur les risques et l鈥檃tt茅nuation des risques, et non sur les aspects techniques des attaques et de la protection.

La cybers茅curit茅 est un processus continu, et les comit茅s d鈥檃udit ont un r么le 脿 y jouer afin de s鈥檃ssurer que la direction identifie et prot猫ge les donn茅es cl茅s, qu鈥檈lle regarde vers l鈥檃venir et qu鈥檈lle s鈥檃dapte au contexte des menaces en 茅volution.